DeFi 借貸協議 Bonzo Lend 遭 ZeroSignature 漏洞攻擊 損失 905 萬美元

AI 市場總結
基於 Hedera 的借貸協議 Bonzo Lend 因預言機驗證器接受了一個零簽名/公鑰的證明而遭到利用,導致可進行極端價格操縱及抵押不足借貸,合共被利用約 905 萬美元。由於仍在釐定復原及重開條款,提款及積分仍維持暫停,限制了流動性提供者。此事件突顯 DeFi 預言機基礎設施中驗證器邊緣情況的風險,並可能對 Hedera 相關的 DeFi 及預言機整合帶來情緒壓力。
影響等級
● 中
主要受影響標的
HBAR/USDT-1.00%
AI 觀點 · HBAR/USDTAI 觀點
▼ 看空
立即交易
⚠️ AI觀點僅為演算法基於新聞內容的自動生成分析,不構成投資建議,不代表BingX立場。市場有風險,投資需謹慎。
CryptoSlate 撰文,Deep潮 TechFlow 整理。Hedera 生態借貸協議 Bonzo Lend 指出,其預言機驗證器出現被稱為 "ZeroSignature" 的漏洞,被人以極低價值的山寨幣抵押品套取約 905 萬美元資金。事件反映 DeFi 基礎設施在數學驗證上存在盲點:驗證器把數學恆等式誤當作授權證明,令協議的抵押率(LTV)規則在錯誤價格下被動「放行」。 Bonzo Lend 表示,因 Oracle 驗證器接受了包含零簽名及零公鑰的證明,導致某錢包僅以 250 枚 SAUCE 作抵押便借出 905 萬美元。協議目前已停用提款功能。狀態頁顯示,截至 7 月 13 日,Bonzo Lend 及 Bonzo Points 仍處於暫停狀態,相關資產市場均顯示維護中;在 Bonzo Finance Labs 與 Bonzo Finance Foundation 制定復原方案及重開條件期間,流動性提供者仍無法提取資金。 事發流程方面,錢包 A 先存入 250 SAUCE(價值僅數美元)。00:51 UTC,該錢包提交 SAUCE/wHBAR 價格更新,把代幣估值抬高約 12 個數量級,而市價仍接近 0.2 HBAR。被操縱的價格寫入預言機鏈上儲存約 8 秒後,錢包 A 借出 663 萬枚 USDC,之後再貸出 3,450 萬枚 wrapped HBAR;按 Bonzo 參考價格計算,錢包 A 合計提走本金約 905 萬美元。 漏洞核心在於「零值」如何通過驗證。該次更新不含有效預言機簽名:簽名欄位為 [0, 0],引用的委員會公鑰亦為零值,在密碼學中等同「無限遠點」。Supra 驗證器把上述輸入交由 Hedera 的配對運算預編譯合約處理。由於兩個點均屬數學恆等元素,配對方程按設計會回傳 true;驗證器未先拒絕零值、恆等元素或非子群輸入,便把此結果當作委員會已簽名的證明。換言之,網絡只是正確解出收到的方程,但驗證器錯把答案視為已獲授權。 Bonzo 指出,其借貸合約會直接使用預言機儲存的價格,按既定 LTV 規則執行借貸,因此在異常價格生效期間仍可放貸。另有錢包 B 在價格異常期間借出約 100 萬美元,並主動聯絡 Bonzo,自稱白帽應對者,表示會歸還資金。Bonzo 估算已找回約 100 萬美元,但資金尚未退回,最終回收金額仍未確定。 Bonzo 表示 Supra 已修補驗證器,但借貸資金池仍未重開。後續關注點包括:回歸測試是否已確認驗證器會拒絕恆等輸入、Bonzo 是否會加入價格偏離檢查或收緊抵押參數,以及在提款復原階段如何處理可用資產。 截至 7 月 13 日,Bonzo 狀態頁仍把事件列為未解決。Bonzo 最近一次官方更新於 7 月 11 日發出,稱協議仍維持暫停。平台尚未公布賠償安排、重開日期或用戶提款條款,流動性提供者需等待後續復原方案落地。